Liunx中selinux的用法

最新推荐文章于 2022-08-02 11:02:33 发布
最新推荐文章于 2022-08-02 11:02:33 发布
阅读量367 收藏
点赞数
文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44236589/article/details/87005563
版权

一、selinux简介

1.selinux(安全增强型linux)是可保护系统安全性的额外机制

2.作用:在某种程度上,它可以被看作是与标准权限系统并行的权限系统。
在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限标签。(控制那些用户对那些文件具有那些访问权selinux的另一个不同之处在于,若要访问文件,你必须具有普通访问权限和selinux访问权限。因此,即使以超级用户身份root运行进程,根据进程以及文件或资源的selinux安全性上下文可能拒绝访问文件或资源限)

3.selinux的三种状态:

enforcing强制状态
permissive警告状态
disabled关闭状态

4.显示selinux的状态:getenforce

5.更改selinux的状态
在这里插入图片描述
在这里插入图片描述
更改完状态要重启才能生效
在这里插入图片描述
6.selinux的两个级别:强制和警告

setenforce 0 —>permissive (警告)

setenforce 1 —>enforcing ( 强制)

二、selinux:安全上下文
(1)更改selinux级别
1.更改selinux的状态为disabled,重启虚拟机
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2.匿名用户登录,查看家目录下的内容
在这里插入图片描述
3.在/mnt/下新建一个目录hello ,将/mnt/hello移动到/var/ftp下,匿名用户登录可以查看到hello
在这里插入图片描述
注意:mv是重命名的过程,文件的属性和权限不会改变
cp是新建的过程,文件的属性和权限会改变

4.更改selinux的状态为enforcing,重启虚拟机,查看selinux的状态是否为enforcing
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
5.在/mnt/下新建一个目录hello1 ,将/mnt/hello1移动到/var/ftp下,匿名用户登录查看不到hello1,因为文件的安全上下文不一致
在这里插入图片描述
在这里插入图片描述
6.更改selinux的状态为警告状态
在这里插入图片描述
匿名用户登录可以查看到hello1
在这里插入图片描述
7.更改selinux的状态为强制状态
在这里插入图片描述
匿名用户登录查看不到hello1
在这里插入图片描述
(2)改变安全上下文
要想查看到hello1就需要改变安全上下文
1.查看/var/ftp的安全上下文的类型
在这里插入图片描述
注意:ls -Z 查看文件的安全上下文
ls -Zd 查看目录的安全上下文
/var/ftp是lftp的默认发布目录,它默认的安全上下文是public_content_t
2.临时更改安全上下文
在这里插入图片描述
3.测试:匿名用户登录可以查看到hello1
在这里插入图片描述
(3)临时更改安全上下文
1.查看/westos目录的安全上下文
在这里插入图片描述
在这里插入图片描述
2.编辑配置文件,设定匿名用户登录的家目录为/westos,一定要重启目录
在这里插入图片描述
在这里插入图片描述
3.测试:匿名用户登录无法访问/westos下的内容
在这里插入图片描述
4.查看/westos目录的安全上下文并且更改安全上下文,更改完后再次查看,安全上下文类型改变为public_content_t
在这里插入图片描述
5.测试:匿名用户登录可以访问/westos下的内容
在这里插入图片描述
6.更改selinux的状态为disabled,重启虚拟机
在这里插入图片描述
在这里插入图片描述
7.更改selinux的状态为enforcing,重启虚拟机

在这里插入图片描述
在这里插入图片描述
8.重启虚拟机后查看安全上下文,安全上下文变为默认的,即这种修改方式是临时的
在这里插入图片描述
测试临时:更改selinux的状态为enforcing---->disabled—>enforcing
(4)永久更改安全上下文
1.修改/westos和底下所有文件的安全上下文,递归刷新并显示刷新过程
在这里插入图片描述
测试:匿名用户登录可以访问/westos下的内容
在这里插入图片描述

/westos(/.*)? 表示对文件本身和里面所有文件,包括隐藏文件
-a 表增加
-t 表示设置安全上下文的类型为public_content_t
查看上下文列表:semanage fcontext -l | grep  westos

三、管理selinux布尔值
(1)本地用户上传
1.本地用户登录,上传文件失败报553错误
在这里插入图片描述
2.查看ftp相关功能状态,本地用户上传功能没有开启
在这里插入图片描述
3.开启本地用户上传功能,本地用户登录上传文件成功
在这里插入图片描述
(2)匿名用户上传
1.匿名用户登录,上传文件失败,报553错误
在这里插入图片描述
2.修改pub权限
在这里插入图片描述
测试:匿名用户再次登录,上传文件失败
在这里插入图片描述
3.查看ftp相关功能状态,匿名用户可写功能没有开启
在这里插入图片描述
4.开启匿名用户可写功能
在这里插入图片描述
测试:匿名用户登录,上传文件失败
在这里插入图片描述
5.给匿名用户的安全上下文类型添加读写权力,递归刷新并显示刷新过程
在这里插入图片描述
测试:匿名用户登录,上传文件成功
在这里插入图片描述

四、selinux的报错以及排错方法

1.删除/var/ftp/pub/目录,再新建/var/ftp/pub/目录,查看目录的安全上下文
在这里插入图片描述
2.更改目录的权限
在这里插入图片描述
3.清空日志文件,匿名用户上传文件失败报553错误
在这里插入图片描述
4.selinux报错日志/var/log/audit/audit.log中会有报错信息产生

在这里插入图片描述
查看/var/log/messages日志,日志文件中有报错的解决办法
在这里插入图片描述

 cat /var/log/messages

在这里插入图片描述
5.查看selinux排错工具软件包
在这里插入图片描述
6.删除setroubleshoot-server软件
在这里插入图片描述
7.清空日志进行测试
在这里插入图片描述
8.selinux报错日志/var/log/audit/audit.log中仍会有报错 但/var/log/messages就不会有报错的解决方法
在这里插入图片描述
在这里插入图片描述
8.查找软件包并安装
在这里插入图片描述
9.selinux报错日志/var/log/audit/audit.log中会有报错信息产生
在这里插入图片描述
查看/var/log/messages日志,日志文件中有报错的解决办法
在这里插入图片描述

[root@server_sshd ~]# cat /var/log/messages

在这里插入图片描述

Saori(๑>؂<๑)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux系统selinux的简介与用法
liuchuang11的博客
05-03 481
首先是网络配置,删除以前的网络配置。将 /etc/vsftpd 删除 rm -rf /etc/vsftpd/ yum install vsftpd.x86_64 -y 重新下载一个 重启服务 systemctl restart vsftpd lftp登陆查看 lftp 172.25.254.112 < selinux 内核防火墙 > vim /etc/sysconfig...
selinux的应用
weixin_44821839的博客
04-27 350
内核级强制安全防火墙 配置文件: vim /etc/sysconfig/selinux 此配置文件有三种状态 Enforcing:强制不能在软件里出现不同安全上下文类型的文件,并且关闭一些防火墙认为不安全的功能(例如上传)。 Permissive:虽然会警告,但是仍然会实现。 disabled:不会开启防火墙。 安全上下文识别: 1.对于文件:若文件安全上下文与软件安全上下文不匹配会被 如果将某个...
linuxselinux用法
橙汁Iter的博客
11-03 486
一、selinux        SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的 实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的 任务所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterpr...
谢烟客---------LinuxSELinux的基本应用
weixin_34214500的博客
09-09 126
SELinux基础/激活或关闭SELinux/改变object的域/启用或关闭程序功能获取更多帮助 《SELinux权威指南》或许应该叫:如何理解WindowsLinux比Windows更安全,这样说不合理. 安全等级: A>B>C>D Linux(c2) Windows(c2)GUI界面:MAC>Windows图形工作站:macWind...
Linuxselinux的简介与用法
weixin_44791884的博客
11-14 298
Linuxselinux的简介与用法 selinux简介 1.selinux: 内核级加强型防火墙 2.作用: 给每一个文件加载标签(context:安全上下文) 对文件的影响:安全上下文 对服务的影响:对服务的特定功能加开关(sebool) 3.selinux的三种状态: enforcing   强制模式 permissive  警告模式 disabled   关闭 4.显示selinux的状...
LinuxSElinux以及防火墙的关闭
01-09
 关闭SELinux的方法:  修改/etc/selinux/config文件SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为enforcing模式  setenforce...
linux如何关闭selinux?.pdf
03-22
**SELinux(Security-Enhanced Linux)** 是Linux操作系统的一种安全子系统,它提供了一种强制访问控制机制,用于增强系统的安全性。SELinux通过定义严格的策略,限制了进程对系统资源的访问,从而降低了系统被...
selinux实现为linux安全模块报告
12-28
**SELinux(Security-Enhanced Linux)是Linux操作系统的一个强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高系统的安全性。本报告详细介绍了如何将SELinux实现为Linux安全模块(LSM)。** 1. *...
使用SELinux 高效管理Linux.pdf
09-06
目前,采用SELinux机制的Linux系统,对象执行动作时,系统权限验证不仅依据安全上下文,还会结合传统的DAC进行检测。只有DAC和SELinux都通过认证,操作才能正常进行。 在计算信息系统,实体分为主体和客体。...
百战RHCE(第三十战:linux高级应用-SElinux极简应用1)
little_startoo的博客
05-28 241
哈喽哈喽哈喽,大家好啊,很高兴大家能看到这篇文章! 首先,本人目前是计算机专业的大一学生,基于对Linux操作系统的爱好,参与了RHCE的培训班,而我这次编写的 《百战RHCE》文章,是基于我自己的学习经验浓缩而来的,保证简洁,方便理解! 而作为一名大学生,我想通过坚持的高水平文章编写带给我自己本身经验的不断进步,同时也希望让更多的Linux新手能接触到更加系统的文章学习。本次《百战RHCE》,会由浅入深,从最基本的命令行,到编写非常复杂的Ansible 自动化脚本 因为本人和你一样也是学习者,所..
百战RHCE(第三十一战:linux高级应用-SElinux极简应用2)
little_startoo的博客
06-02 365
我们接着上面的内容继续学习而知道了selinux 模式之间的不同后,我们又该如何设置 Selinux ,这里一共有三个设置 Selinux 的命令 chcon:直接修改格式: chcon -t selinux类型 文件/目录(无法被保留到SELinux数据库,会被restorecon命令运行时覆盖)restorecon:将目录的上下文(SElinux数据库的上下文)应用在文件格式: restorecon -v 文件/目录semanage fcontext:设置默认标签(将目录的上下文加载到S
SELinux入门:了解和配置SELinux
weixin_33701564的博客
05-31 1286
SELinux入门:了解和配置SELinux 几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核已经有8年历史的强制性访问控制系统(MAC)了。 SELinux 与强制访问...
关于Selinux详解
段小苏的学习之路
04-03 4692
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
Selinux 总结
Android 系统开发
02-23 402
Selinux 总结 总结 1.Selinux  是MAC(强制访问控制)的一种实现方式。 2.Selinux 有两种模式     Enforcing模式,强制模式。不符合selinux要求的访问,将会被阻止      Permissive模式 ,宽容模式。 宽容模式下,会记录没有权限的访问,但是不会阻止。   Android5.0 系统,默认使用的 Permissive模式。 从An...
linux——selinux简介
weixin_45784367的博客
11-14 492
SELinux SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。SELinux默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可...
SELinux
xgq2017的博客
11-16 224
1.SELinux介绍(1) SELinux是Security Enhanced Linux的缩写,意思是安全强化的linux,设计的目标是避免资源的误用。SELinux是通过MAC(强制访问控制)的方式来控制进程,其控制的主体是进程,目标是该进程能否读取的文件资源。MAC针对特定的进程和特定的文件资源进行权限控制。(2)SELinux是在进行程序,文件等权限设置依据的一个内核模块。由于启动网络服务
【安全利器SELinux快速入门系列 | 02】SELinux 策略实施的可视化操作指南
机器未来的博客
08-02 1901
编者按:博主借助翻译工具翻译了这篇文章,非常形象地描述了SELINUX的三种策略类型:targeted(TE Enforcement)、mcs、mls。 三种策略的安全级别依次增强,TE, MCS, MLS,MLS最高,每种安全策略都是在上一种安全策略的基础上叠加信的安全策略。 >在TE的基础上,针对多个同样的进程,通过在启动进程时在进程和文件对象增加多类别标签MCS,实现权限隔离。 在MCS标签完全匹配的情况下,MLS增加了多级别标签sx(x=0,1,2,...),实现绝密>秘密->...,多级别的访..
linux acl selinux
最新发布
09-18
Linux的ACL (Access Control List) 是一种用于控制文件和目录访问权限的机制。ACL允许用户对文件和目录进行更精细的权限控制。在Linux系统,默认情况下,根目录分区是开启ACL的,但如果没有开启,可以通过以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值